Oh no! No description found. But not to worry. Read from Tasks below how to advance this topic.
Omavalvonnan kohteen tulee varmistaa, että tietoturvasuunnitelma toteutuu kaikissa sen palveluyksiköissä ja muiden sen lukuun palveluiden tuottamiseen tai toteuttamiseen osallistuvien tahojen toiminnassa.
Kaikkien sosiaalihuollon asiakastietojen ja potilastietojen käsittelyn osapuolien vastuut tulee olla selkeästi määritelty. Osa kuvatuista tai vaadituista asioista voi olla jonkun muun kuin omavalvonnan kohteen itsensä vastuulla erilaisten järjestelyjen (esimerkiksi palveluhankinta, yhtymä, sovellusvuokraus) kautta.
Jos tietoturvasuunnitelmaan kuuluvia vastuita on jonkun muun kuin omavalvonnan kohteen itsensä vastuulla, vastuut on määriteltävä osapuolten välisissä toimeksianto- tai muissa sopimuksissa. Selkeät tietoturvan ja asiakastietojen käsittelyn vastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita. Sopimuksista tulee myös ilmetä, mihin toimiin osapuolet ryhtyvät, jos tietoturvassa ilmenee puutteita, ongelmia tai toteutuneita riskejä.
Palvelunantajalla on oltava sopimus muiden sen asiakas- tai potilastietojärjestelmiä käyttävien palvelunantajien ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta asiakastietojen käsittelystä ja tietoturvallisuuden varmistamisesta.
Tietoturvallisuuden omavalvonnan kohde vastaa tietoturvasuunnitelmasta myös tilanteissa, joissa se hankkii käyttöympäristön tai tietotekniikkapalveluita esimerkiksi ostopalveluina muilta palveluiden antajilta tai tietojärjestelmäpalvelujen tuottajilta.
Keskinäisillä sopimuksilla ei kuitenkaan voida määritellä tai sopia vastuista asiakastietolaissa määritellystä poikkeavasti.
Tietoturvasuunnitelman varsinaisen sisällön tai siinä viitatuissa dokumenteissa esitetyn sisällön pohjalta on tarvittaessa pystyttävä todentamaan omavalvontaan liittyvät asiat: Tietoturvasuunnitelma on laadittu, se sisältää suunnitelmalta edellytettävät asiat tämän määräyksen mukaisesti, miten suunnitelmaa säännöllisesti päivitetään ja miten sen toteutumista seurataan. Palvelunantajan on pystyttävä osoittamaan tietoturvasuunnitelman olemassaolo, asianmukaisuus ja toteuttaminen esimerkiksi valvontaviranomaisille myös niissä tilanteissa, joissa palvelunantaja ei itse tuota palveluita. Myös tällöin on kuvattava ja pystyttävä tarvittaessa todentamaan, kenen vastuulle asian kuvaaminen tai toteuttaminen kuuluu ja miten on varmistuttu siitä, että asia on kuvattu tai toteutettu vaaditulla tavalla.
Omavalvonnan kohteen tulee varmistaa, että tietoturvasuunnitelma toteutuu kaikissa sen palveluyksiköissä ja muiden sen lukuun palveluiden tuottamiseen tai toteuttamiseen osallistuvien tahojen toiminnassa.
Kaikkien sosiaalihuollon asiakastietojen ja potilastietojen käsittelyn osapuolien vastuut tulee olla selkeästi määritelty. Osa kuvatuista tai vaadituista asioista voi olla jonkun muun kuin omavalvonnan kohteen itsensä vastuulla erilaisten järjestelyjen (esimerkiksi palveluhankinta, yhtymä, sovellusvuokraus) kautta.
Jos tietoturvasuunnitelmaan kuuluvia vastuita on jonkun muun kuin omavalvonnan kohteen itsensä vastuulla, vastuut on määriteltävä osapuolten välisissä toimeksianto- tai muissa sopimuksissa. Selkeät tietoturvan ja asiakastietojen käsittelyn vastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita. Sopimuksista tulee myös ilmetä, mihin toimiin osapuolet ryhtyvät, jos tietoturvassa ilmenee puutteita, ongelmia tai toteutuneita riskejä.
Palvelunantajalla on oltava sopimus muiden sen asiakas- tai potilastietojärjestelmiä käyttävien palvelunantajien ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta asiakastietojen käsittelystä ja tietoturvallisuuden varmistamisesta.
Tietoturvallisuuden omavalvonnan kohde vastaa tietoturvasuunnitelmasta myös tilanteissa, joissa se hankkii käyttöympäristön tai tietotekniikkapalveluita esimerkiksi ostopalveluina muilta palveluiden antajilta tai tietojärjestelmäpalvelujen tuottajilta.
Keskinäisillä sopimuksilla ei kuitenkaan voida määritellä tai sopia vastuista asiakastietolaissa määritellystä poikkeavasti.
Tietoturvasuunnitelman varsinaisen sisällön tai siinä viitatuissa dokumenteissa esitetyn sisällön pohjalta on tarvittaessa pystyttävä todentamaan omavalvontaan liittyvät asiat: Tietoturvasuunnitelma on laadittu, se sisältää suunnitelmalta edellytettävät asiat tämän määräyksen mukaisesti, miten suunnitelmaa säännöllisesti päivitetään ja miten sen toteutumista seurataan. Palvelunantajan on pystyttävä osoittamaan tietoturvasuunnitelman olemassaolo, asianmukaisuus ja toteuttaminen esimerkiksi valvontaviranomaisille myös niissä tilanteissa, joissa palvelunantaja ei itse tuota palveluita. Myös tällöin on kuvattava ja pystyttävä tarvittaessa todentamaan, kenen vastuulle asian kuvaaminen tai toteuttaminen kuuluu ja miten on varmistuttu siitä, että asia on kuvattu tai toteutettu vaaditulla tavalla.
In Cyberday, requirements and controls are mapped to universal tasks. A set of tasks in the same topic create a Policy, such as this one.
In Cyberday, requirements and controls are mapped to universal tasks. Each requirement is fulfilled with one or multiple tasks.
When building an ISMS, it's important to understand the different levels of information hierarchy. Here's how Cyberday is structured.
Sets the overall compliance standard or regulation your organization needs to follow.
.svg)
.svg)
.svg)
Break down the framework into specific obligations that must be met.
.svg)
Concrete actions and activities your team carries out to satisfy each requirement.
Documented rules and practices that are created and maintained as a result of completing tasks.
